Závažné zraniteľnosti produktov spoločnosti Mozilla umožňujú prevziať kontrolu nad zraniteľným zariadením

Spoločnosť Mozilla opravila sériu závažných a stredne závažných chýb prítomných v jej produktoch Firefox, Firefox ESR a Thunderbird. Najzávažnejšia z nich umožňuje vykonávať ľubovoľný kód a prevziať kontrolu nad zraniteľným zariadením.

Opis činnosti

CVE-2021-43536 – CVE-2021-43546, MOZ-2021-0009, MOZ-2021-0010

Internetové prehliadače Firefox, Firefox ESR a e-mailový klient Thunderbird obsahujú sériu zraniteľností, z ktorých najvážnejšia umožňuje útočníkom vykonávať ľubovoľný kód na zraniteľnom zariadení a prevziať nad ním kontrolu.

Medzi opravenými zraniteľnosťami sa nachádza šesť označených ako vysoko závažné:

CVE-2021-43536: v istých prípadoch môžu asynchrónne funkcie spôsobiť odhalenie cieľovej URL

CVE-2021-43537: nesprávny spôsob konverzie typu premennej zo 64-bitového na 32-bitový integer vedie ku pretečeniu zásobníka haldy

CVE-2021-43538: súbeh v kóde pre notifikácie umožňuje skryť notifikáciu pre stránky s prístupom k atribútom fullscreen a pointer lock, čo dovoľuje útoky typu spoofing

CVE-2021-43539: chyba v zaznamenávaní polohy ukazovateľov vo volaniach WebAssembly vedie ku chybe použitia odalokovaného miesta v pamäti

MOZ-2021-0009: séria chýb zabezpečenia v pamäti z ktorých niektoré majú potenciál zneužitia pre vykonávanie ľubovoľného kódu

MOZ-2021-0010: chyba prítomná vo verzii Firefox re MacOS umožňujúca použitie odalokovaného miesta v pamäti pri zmene okna z a na fullscreen

Zraniteľné systémy

  • Mozilla Firefox verzie pred 95
  • Firefox ESR verzie pred 91.4
  • Thunderbird verzie pred 91.4

Závažnosť zraniteľnosti

Vysoká

Možné škody

  • Vzdialené vykonávanie kódu
  • Prevzatie kontroly nad zraniteľným zariadením

Odporúčania

Bezodkladná aktualizácia produktov Mozilla Firefox, Firefox ESR a Thunderbird.

Odkazy

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-mozilla-firefox-and-thunderbird-could-allow-for-arbitrary-code-execution_2021-156/

https://www.securityweek.com/mozilla-patches-high-severity-vulnerabilities-firefox-thunderbird

https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/

https://www.cisa.gov/uscert/ncas/current-activity/2021/12/08/mozilla-releases-security-updates-firefox-firefox-esr-and